Immer wieder werden Beschwerden gegen Unternehmen eingereicht, die User-Daten beispielsweise mit Google Analytics oder Facebook Connect sammeln und somit Daten in die Vereinigten Staaten (USA) senden. Vor allem zu remote genutzten Google Fonts gab es viele Abmahnwellen in den letzten Jahren.

Webseitenbetreiber müssen sicherstellen, dass User-Daten nicht unrechtmäßig in unsichere Drittstaaten geleitet werden. Ein unsicherer Drittstaat ist ein Land außerhalb der Europäischen Union (EU), für das kein EU-Angemessenheitsbeschluss besteht. Bis vor Kurzem galt auch die USA als unsicherer Drittstaat. Somit gab es kein Rahmenwerk für den transatlantischen Datenaustausch zwischen der EU und den USA. Dies hat sich mit dem Beschluss der Europäischen Kommission am 10. Juli 2023 zum Trans-Atlantic Data Privacy Framework (DPF oder auch Privacy Shield 2.0) geändert.

Was ist das Problem mit US-Software auf Webseiten?

Das Problem bei der Verwendung von US-Software auf Webseiten bisher war, dass es kein Regelwerk für den Austausch von personenbezogenen Daten zwischen der EU und den USA gab. In diesem Fall hat man als Webseitenbetreiber Schwierigkeiten bei der Gewährleistung eines angemessenen Datenschutzniveaus, wenn man US-Software oder -Tools verwendet, die personenbezogene Daten verarbeiten. Die Datenschutz-Grundverordnung (DSGVO) der EU legt strenge Anforderungen an den Schutz personenbezogener Daten fest und der Transfer in Länder außerhalb der EU ist nur erlaubt, wenn angemessene Schutzmechanismen vorhanden sind.

Die Unsicherheit darüber, wie personenbezogene Daten bei der Verwendung von US-Software ohne ein Datenschutz-Abkommen behandelt werden, kann zu rechtlichen Risiken führen. Datenschutzbehörden können Sanktionen oder Strafen verhängen, wenn nicht ausreichende Schutzmaßnahmen ergriffen werden, um den Datenschutz zu gewährleisten.

Seit des Scheiterns des letzten Privacy Shields reichte die Datenschutzorganisation NOYB insgesamt über 100 Beschwerden gegen Unternehmen ein, die Besucherdaten mithilfe von US-Software sammeln. Diese Liste umfasst Vertreter aus unterschiedlichen Branchen, wobei Verlage und Finanzinstitute besonders stark vertreten sind.

Was ist die aktuelle rechtliche Situation unter dem Privacy Shield 2.0?

Der neu eingeführte Datenschutzrahmen wird als Data Privacy Framework (DPF) bezeichnet und etabliert eine neue rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA. Diese Grundlage umfasst einen Angemessenheitsbeschluss, der sicherstellt, dass das Datenschutzlevel eines Drittlandes (in diesem Fall die USA) mit den europäischen Standards gleichwertig ist. Für Unternehmen bringt diese Entwicklung zunächst positive Nachrichten, da individuelle Überprüfungen nicht mehr erforderlich sind. Dies bedeutet, dass Dienste und Tools von US-Unternehmen unter Beachtung des Datenschutzabkommens wieder ohne rechtliche Bedenken genutzt werden können, sofern diese dem Datenschutzrahmen beitreten.

EXTRA: Trans-Atlantic Data Privacy Framework: Bedeutung für EU-Unternehmen

Was muss ich als Webseitenbetreiber beim Verwenden von US-Software beachten?

Zwar können US-Tools und Dienste unter dem neuen DPF rechtssicher genutzt werden, doch es gibt eine wichtige Voraussetzung hierfür. Der Datenempfänger in den USA muss durch die Internationale Handelsverwaltung (ITA – International Trade Administration) zertifiziert sein. US-Unternehmen können sich hierfür mit allen notwendigen Unterlagen selbst an die ITA wenden.

Als Webseitenbetreiber kann man in einer frei zugänglichen Datenbank prüfen, welche US-Unternehmen bereits zertifiziert sind. Neben der Prüfung der Zertifizierung des US-Datenempfängers müssen die DPF-Zertifizierung und die entsprechenden Informationen zum Datenempfänger (wie bisher auch) in den Datenschutzhinweisen des Webseitenbetreibers aktualisiert werden. Wichtig zu beachten ist auch, dass die Pflicht zur Einholung einer Einwilligung über ein Cookie Consent Tool für US-Tracking-Tools durch das DPF nicht entfällt. Die DPF-Liste der ITA kann hier aufgerufen werden.

EXTRA: Eine DSGVO-konforme Website erstellen: Wichtige Tipps und Tricks

Ist die Verwendung von US-Tools langfristig rechtssicher?

Auch wenn die US-Regierung und viele Unternehmen das neue DPF begrüßen, mangelt es nicht an Kritik. NOYB weist auf kritische Punkte hin, die durch das neue Abkommen nicht behoben wurden und sieht das Abkommen weitgehend als eine Kopie des gescheiterten Privacy Shield. Ziel von NOYB ist es, das neue Abkommen vor Gericht anzufechten.

Seitens der EU-Kommission werden in Zukunft alle relevanten Entscheidungen der USA in einem kontinuierlichen Prozess überwacht werden. Dabei wird sie regelmäßig die Angemessenheit der getroffenen Entscheidungen überprüfen, um sicherzustellen, dass sämtliche wichtigen Aspekte des neuen Rahmens effektiv in der Praxis umgesetzt werden. Die erste dieser Überprüfungen ist für Juli 2024 geplant.

Fazit

Derzeit kann US-Software, die den Transfer personenbezogener Daten von der EU in die USA erfordert, wieder rechtskonform verwendet werden. Voraussetzung hierfür ist die Zertifizierung des US-Anbieters bei der ITA und die Aktualisierung der Privacy Shield Zertifizierung mit entsprechenden Informationen zum Datenempfänger in den Datenschutzhinweisen des Datenexporteurs. Ob das Abkommen nach einer Anfechtung durch NOYB und nach regelmäßigen Prüfungen durch die EU-Kommission langfristig bestehen kann, bleibt abzuwarten.

Der unternehmer.de Newsletter

Die beliebtesten und spannendsten Artikel rund um Digitalisierung, Management und Marketing kostenlos in dein Postfach.

JETZT ANMELDEN